IEC 是国际电工委员会(International Electrotechnical Commission)的缩写,ISO/IEC 27701 隐私信息管理体系标准是由国际标准化组织(ISO)和国际电工委员会联合发布的。
ISO/IEC 27701 隐私信息管理体系标准是对 ISO/IEC 27001 信息安全管理和 ISO/IEC 27002 安全控制的隐私扩展,为保护个人隐私提供指导,包括组织应如何管理个人信息,并协助证明遵守了世界各地的隐私法规。
该标准的目标是通过新增的要求来增强现有信息安全管理体系(ISMS),以便建立、实施、维护和不断改进隐私信息管理体系(PIMS)。其适用于所有类型和规模的组织,包括公共和私营公司、政府机构和非盈利组织等。
组织通过 ISO/IEC 27701 认证企业好处。例如:
合规:明确对个人可识别信息(PII)处理者的隐私保护要求,减轻组织合规负担并降低合规风险。满足 ISO/IEC 27701 标准意味着基本满足如 GDPR(欧盟《通用数据保护条例》)等严格的隐私保护法规要求。
完善自身数据安全能力和风险管理:实现持续完善产品的非功能性要求,展示出产品在处理个人隐私安全、安全治理的绩效,减少甚至消除隐私泄露的风险。
传递信任:通过得到授权的第三方机构审核,可极大地降低合规沟通成本,有助于向客户、合作伙伴、公众等传达组织的可信度。
申请 ISO/IEC 27701 认证的条件通常包括:
1.中国企业持有工商行政管理部门颁发的《企业法人营业执照》或等效文件,外国企业持有关机构的登记注册证明。
2. 申请方的信息安全管理体系已按 ISO/IEC 27701 标准的要求建立,并实施运行 3 个月以上。
3.至少完成一次信息安全风险评估、内部审核,并进行了管理评审。
4.信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
企业认证所需要的资质要求:
1,公司简介。
2,公司营业执照。
3,其他相关资质(如 ISO 27001 信息安全管理体系认证、软件著作权、专利、商标许可等)。
4,公司的组织架构图(部门架构和目前公司的主要人员姓名、归属部门、岗位)。
5,公司现有的业务流程。
6,公司现有的 IT 方面的管理制度。
7,特定利益相关方的期望和要求。
8,隐私信息数据的类型。
ISO/IEC 27701 证书有效期为三年,每年需进行一次年审。
认证流程
ISO/IEC 27701隐私信息管理体系认证的流程通常包括以下几个步骤:
自我评估:组织机构进行自我评估,了解其当前的隐私信息管理状况。
准备认证:选择合适的认证机构,了解认证要求和流程,建立内部隐私信息管理团队,并编制隐私信息管理体系文档。
体系实施:实施隐私信息管理体系,并进行持续修正和完善。
提交申请:向认证机构提交认证申请及相关文档和证明文件。
现场审核:认证机构派遣专业人员对组织机构进行现场审核,验证其隐私信息管理体系是否符合ISO/IEC 27701标准。
颁发证书:如果组织机构的隐私信息管理体系符合标准要求,认证机构将颁发ISO/IEC 27701认证证书。
需要注意的是,ISO/IEC 27701 是独立的可认证标准依据,任何组织均可以直接申请认证,不一定要以先通过 ISO 27001 认证为前提,但有 ISO 27001 认证会对 ISO 27701 的体系落地有帮助。同时,ISO 29100、ISO 27018、ISO 29151 等均为隐私方面的标准,它们各有侧重点,与 ISO 27701 互为补充。